Jump to content
  • 0

DDoS Detection and Blocking - Help


xrouted
 Share

Question

Здравейте колеги,

от няколко дни съпорта на ISP-то, което ползвам вкъщи ми звъни и ми обяснява, че има голям UDP трафик към мойто IP. Викам айде.. щом втори път звънят ще влезна да проверя. Та какво да видя...

 

/ip firewall connection print                             

Flags: E - expected, S - seen-reply, A - assured, C - confirmed, 

D - dying, F - fasttrack, s - srcnat, d - dstnat 

 #          PR.. SRC-ADDRESS           DST-ADDRESS           TCP-STATE  

 0  SAC     udp  195.29.228.25:23648   X.X.X.X:53    

 1  SAC     udp  220.166.59.235:28055  X.X.X.X:53    

 2  SAC     udp  198.44.251.195:25405  X.X.X.X:53    

 3  SAC     udp  195.29.228.25:6502    X.X.X.X:53    

 4  SAC     udp  220.166.59.235:30119  X.X.X.X:53    

 5  SAC     udp  188.75.90.104:43692   X.X.X.X:53    

 6  SAC     udp  198.44.251.195:44254  X.X.X.X:53    

 7  SAC     udp  120.25.65.55:1726     X.X.X.X:53    

 8  SAC     udp  72.130.72.31:39948    X.X.X.X:53    

 9  SAC     udp  64.237.35.99:46991    X.X.X.X:53    

10  SAC     udp  62.193.15.145:48508   X.X.X.X:53    

11  SAC  s  tcp  192.168.88.230:51866  191.232.139.253:443   established

12  SAC     udp  220.166.59.235:41407  X.X.X.X:53    

13  SAC     udp  195.29.228.25:55449   X.X.X.X:53    

14  SAC     udp  184.189.253.120:23615 X.X.X.X:53    

15  SAC     udp  123.57.8.102:22127    X.X.X.X:53    

16  SAC     udp  47.90.2.91:107        X.X.X.X:53    

17  SAC     udp  188.75.90.104:43990   X.X.X.X:53    

18  SAC     udp  139.129.144.147:9443  X.X.X.X:53    

19  SAC     udp  195.29.228.25:13126   X.X.X.X:53    

20  SAC     udp  195.29.228.25:7616    X.X.X.X:53    

21  SAC     udp  24.66.28.164:61111    X.X.X.X:53    

22  SAC     udp  115.230.124.22:6902   X.X.X.X:53    

23  SAC     udp  220.166.59.235:33113  X.X.X.X:53    

24  SAC     udp  188.75.90.104:54163   X.X.X.X:53    

25  SAC     udp  103.202.227.8:970     X.X.X.X:53    

26  SAC     udp  195.29.228.25:62366   X.X.X.X:53    

27  SAC     udp  220.166.59.235:35561  X.X.X.X:53    

28  SAC     udp  64.237.35.99:6499     X.X.X.X:53    

29  SAC     udp  103.202.227.8:40833   X.X.X.X:53    

30  SAC     udp  62.193.15.145:58128   X.X.X.X:53    

31  SAC     udp  64.237.35.99:48570    X.X.X.X:53    

32  SAC     udp  220.166.59.235:8320   X.X.X.X:53    

33  SAC     udp  139.129.144.147:16378 X.X.X.X:53    

34  SAC     udp  220.166.59.235:39904  X.X.X.X:53    

35  SAC     udp  72.130.72.31:14134    X.X.X.X:53    

36  SAC     udp  64.237.35.99:25145    X.X.X.X:53    

37  SAC     udp  47.90.2.91:50761      X.X.X.X:53    

38  SAC     udp  198.44.251.195:64779  X.X.X.X:53  

X.X.X.X - е моя външен IP адрес.

Става въпрос за 2000-3000 UDP Конекции/

Натоварването на CPU-то е :

system resource monitor 

          cpu-used: 77%

  cpu-used-per-cpu: 77%

       free-memory: 99716KiB

 

Това, което направих е :
- блокирах UDP протокола към дадения интерфейс през 53-ти порт, без гугълските DNS.
- Използвах и препоръките от сайта на микротик за DDoS Detection and Blocking. (http://wiki.mikrotik.com/wiki/DDoS_Detection_and_Blocking)
- Блокирах всички вътрешни мрежи, освен тези които не използвам.
- Ъпгрейднал съм до OS 6.34.3
- Всички сървиси са спрени през изходящите интерфейси.

Общо взето каквито и правила да слагам, единствено натоварвам повече RouterBord-a, но атаките не спират. Нямам публикувани услуги през дивайса. Прави ми впечатление, че има и SIP конекции, май си ме използват за стабилен рилей.

Ясно ми е, че доставчика на интернет услугата е най-добре да ме протектне, но честно казано за 30-те лв. на месец, които получават от мен за 100 Mbps, на дали и пръста ще си мръднат.

Ще бъда благодарен за още идеи :)

Поздрави!

Edited by xrouted
Link to comment
Share on other sites

Recommended Posts

  • 0
  • Administrator
Преди 1 час, xrouted написа:

- блокирах UDP протокола към дадения интерфейс през 53-ти порт, без гугълските DNS.

когато ти идва днс от вътрешна заявка не минава през "инпут"

използвай стандартните firewall настройки

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Basic_examples

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0
Преди 1 час, 111111 написа:

когато ти идва днс от вътрешна заявка не минава през "инпут"

използвай стандартните firewall настройки

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Basic_examples

Прав си да!

 

За момента овладях положението, да видим до кога!

Ето как:

 

############################################################################################################################
#### Remove any private subnets that you are not using.                                                                   ##
############################################################################################################################
/ip firewall address-list
add address=10.0.0.0/8 list=DNS_Accept
add address=172.16.0.0/12 list=DNS_Accept
add address=192.168.0.0/16 list=DNS_Accept

############################################################################################################################
#### Add your DNS servers to the DNS_Accept list. Remove and DNS servers you are not using for your router.               ##
############################################################################################################################

add address=8.8.8.8/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"
add address=8.8.4.4/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"
add address=4.2.2.1/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"
add address=4.2.2.2/32 list=DNS_Accept disabled=yes comment="Add DNS Server to this List"


/ip firewall filter
add action=jump chain=input comment="Jump to DNS_DDoS Chain" disabled=no jump-target=DNS_DDoS
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no port=53 protocol=tcp src-address-list=DNS_Accept
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no dst-address-list=DNS_Accept port=53 protocol=tcp
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no port=53 protocol=udp src-address-list=DNS_Accept
add action=accept chain=DNS_DDoS comment="Make exceptions for DNS" disabled=no dst-address-list=DNS_Accept port=53 protocol=udp
add action=add-src-to-address-list address-list=DNS_DDoS address-list-timeout=0s chain=DNS_DDoS comment="Add DNS_DDoS Offenders to Blacklist" disabled=no port=53 protocol=tcp src-address-list=!DNS_Accept
add action=add-src-to-address-list address-list=DNS_DDoS address-list-timeout=0s chain=DNS_DDoS comment="Add DNS_DDoS Offenders to Blacklist" disabled=no port=53 protocol=udp src-address-list=!DNS_Accept
add action=drop chain=DNS_DDoS comment="Drop DNS_DDoS Offenders" disabled=no src-address-list=DNS_DDoS
add action=return chain=DNS_DDoS comment="Return from DNS_DDoS Chain" disabled=no
/

 

BTW - ип-то ми беше блеклистнато! Което ме наведе на мисълта да се обадя на доставчика за да ми дадат ново IP, докато ми приемат рекуеста и ме изкарат от блеклиста.

Link to comment
Share on other sites

  • 0
  • Administrator

това е безмислено

/ip firewall address-list
add address=10.0.0.0/8 list=DNS_Accept
add address=172.16.0.0/12 list=DNS_Accept
add address=192.168.0.0/16 list=DNS_Accept

просто добавяш 
при инпут на ВАН интерфейса дроп правило
без да оказваш нищо друго, като над него описваш кое ти трябва като протокол:порт

/ip fi fi

add chain=input in-interface=WAN action=drop comment="Drop everything on WAN" 

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

:)  Отново отворен за DNS рекурсия Mikrotik :)  Ограничи си кои може да  те "пита" за всичко. И разкарай отметката "Allow Remote Requests"

Link to comment
Share on other sites

  • 0

Не е от това. Както споменах, нямам нонстоп работещи машини... опобено през деня докато няма никой вкъщи.

Ако махна " Allow Remote Requests ", трябва да набия статички ДНС и няма как да го ползвам борда...

 

преди 7 минути, stanstanyov написа:

Провери какво правят машините от вътрешната мрежа. Много често такъв трафик е предизвикан от някой вътрешен "заразен" компютър.

---

 

Mihail Peltekov, ако махне "Allow Remote Requests" , как ще полза борда за днс-сървър на вътрешната си мрежа?



 

Link to comment
Share on other sites

  • 0

За всеки случай виж с Torch какво става на отделните интерфейси като почне флуда.

Link to comment
Share on other sites

  • 0

Не колега, главоболие не се лекува с рязане на главата. Съветът ти "разкарай отметката "Allow Remote Requests" звучи точно така. Може би човекът иска да си ползва микротика като ДНС-сървър на мрежата, не мислиш ли? И да, такива ДНС-флудове много често започват от някакви вътрешни заявки от мрежата, случвало ми се е многократно.

Проблемът се решава лесно с прост филтър, между впрочем, но нали е добре да се разбере какво го е предизвикало все пак? Адресите по-горе са китайски естествено, може да се направи и динамична блок адрес-листа, ако пък някой много държи да му е отворен днс-а и навън.

Link to comment
Share on other sites

  • 0
  • Administrator
Преди 19 часа, Mihail Peltekov написа:

Какви заразени компютри какво чудо... Написах горе от какво се е получило. Нищо не му пречи да си ползва DNS-сите на доставчика и тях да ги раздава по DHCP ;)

хем съгласен хем не

има доставчици с невероятно стари записи по скоро гугъл и опен днс да се ползват 

Цитат

 

8,8,8,8 и 8,8,4,4

208.67.222.222
208.67.220.220

 

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа


ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites

  • 0

Отново ме налазиха с UDP .... трябваше им само ден-два да ме открият с новия адрес. Явно рестрикциите не вършат работа!

Link to comment
Share on other sites

  • 0
Преди 5 часа, xrouted написа:

Отново ме налазиха с UDP .... трябваше им само ден-два да ме открият с новия адрес. Явно рестрикциите не вършат работа!

Аз ти казвам, че вътрешен компютър го прави това... Провери ли с Torch какво имаш на интерфейсите, както ти казах?

Link to comment
Share on other sites

  • -1

Провери какво правят машините от вътрешната мрежа. Много често такъв трафик е предизвикан от някой вътрешен "заразен" компютър.

---

 

Mihail Peltekov, ако махне "Allow Remote Requests" , как ще полза борда за днс-сървър на вътрешната си мрежа?

Link to comment
Share on other sites

  • -1

Какви заразени компютри какво чудо... Написах горе от какво се е получило. Нищо не му пречи да си ползва DNS-сите на доставчика и тях да ги раздава по DHCP ;)

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.